Аккорд-В. Виртуализация без белых пятен. Часть 3
В рубрику "Оборудование и технологии" | К списку рубрик | К списку авторов | К списку публикаций
Аккорд-В. Виртуализация без белых пятен
Часть 3
Виртуальная система строится на реальной системе, стало быть принципиальные методы защиты должны быть те же. В основе виртуальных решений, так же как и реальных, лежат машины фон-неймановской архитектуры, что означает необходимость соблюдения основных принципов обеспечения ИБ, дополненных новыми механизмами, отвечающими новым особенностям инфраструктур.
Светлана Конявская
заместитель генерального директора ОКБ САПР
заместитель генерального директора ОКБ САПР
Контролирующие компоненты должны быть независимы от контролируемых (принцип независимости)
Основой всех эффективных методов и средств защиты информации является наличие в системе резидентного компонента безопасности (РКБ) – независимого от защищаемой системы устройства, контролирующего целостность аппаратного и программного окружения и защитных механизмов.
Очевидно, что аппаратный модуль доверенной загрузки (далее – АМДЗ) не может контролировать процессы загрузки виртуальных машин (далее – ВМ) и выполнять таким образом функции резидентного компонента безопасности. Отсюда оказывается очень заманчивым сделать вывод о том, что РКБ в виртуальной инфраструктуре не то чтобы не нужен, но, скажем, имеет факультативное значение. На самом деле, это, конечно, не так.
В результате концепция контролируемого старта сводится в некоторых решениях к самому факту наличия аппаратного компонента, причем этот компонент не является частью комплекса средств защиты, а рекомендуется к дополнительной установке. Производители рекомендуют к установке СЗИ собственной разработки, но допускают и применение других аналогичных продуктов. Это говорит о том, что аппаратный замок является не базой комплекса, а отдельным СЗИ, то есть не может считаться РКБ, лежащим в основе комплекса СЗИ НСД для системы виртуализации. Фактически можно сказать, что аппаратного РКБ в основе такого комплекса СЗИ нет. А так быть не должно.
Резидентный компонент безопасности необходим потому, что именно на его основе единственно возможно выполнение пошагового контроля целостности. Необходимо решение, позволяющее РКБ иметь доступ к новой контролируемой среде, находясь вне этой среды.
Выбор средства защиты должен быть обусловлен его соответствием особенностям защищаемой среды.
Цепочка контрольных процедур должна быть непрерывной (принцип непрерывности)
Пошаговый контроль – это контроль каждого следующего объекта только тем механизмом или средством, которое уже проверено (с положительным результатом) на предыдущем шаге и является доверенным, и на основе только тех данных, достоверность которых уже установлена на предыдущем шаге.
Каковы принципы? Или почему нельзя защитить виртуальную инфраструктуру иначе?
Утверждения о том, что системы виртуализации в меньшей степени нуждаются в защите благодаря самой своей структуре, не имеют под собой оснований, но ненамного больше оснований имеют под собой и утверждения, что методы защиты информации в виртуальных инфраструктурах должны быть принципиально иными, чем в реальных. Список может претендовать на исчерпанность, если он содержит либо 3, либо 7 элементов. В основе нашей системы защиты – 3 принципа:
- принцип независимости;
- принцип непрерывности;
- принцип полноты и достаточности.
Применительно к системам виртуализации это означает, что весь набор процедур от старта физического сервера до старта гостевой ОС и создания внутри ее изолированной программной среды (ИПС) для каждого пользователя – это связанная цепочка последовательных и основанных одно на другом действий.
Очевидно, что в виртуальной инфраструктуре необходимо обеспечивать целостность гипервизора и его механизмов управления, а также целостность компонента безопасности, который в системах виртуализации находится на уровне между гипервизором и виртуальными машинами. Проверку целостности самого компонента безопасности и гипервизора должен производить аппаратный модуль доверенной загрузки, являясь не дополнительной возможностью, а основой системы защиты, а уже проверенные им компоненты безопасности должны контролировать ВМ, обеспечивая ее контролируемый старт, целостность ОС, файлов и оборудования, а также создавать ИПС каждого пользователя.
Выбор средства защиты должен быть обусловлен взаимосвязанностью и взаимообусловленностью всех производимых им контрольных процедур.
Все звенья системы должны быть защищены одинаково надежно (принцип полноты и достаточности)
В случае если в системе есть незащищенные участки, эффект от системы защиты сводится на нет, поэтому, помимо гипервизора, необходимо контролировать и средство его управления, Service Console, а помимо загрузочного сектора дисков виртуальных машин – файлы ОС внутри ВМ. Иначе получится точечная защита, носящая скорее декоративный характер.
Выбор средства защиты должен быть обусловлен полнотой охвата компонентов системы его защитными функциями, полнотой функций системы, остающихся доступными после внедрения и настройки системы защиты, а также учитывать "нагрузку", которую система защиты наложит на инфраструктуру. Поэтому "Аккорд-В" не требует добавления в виртуальную инфраструктуру дополнительных серверов и не ограничивает таких полезных возможностей виртуальной инфраструктуры, как, например, клонирование или снап-шоты.
ОКБ САПР, ЗАО
115114 Москва,
2-й Кожевнический пер., 8
Тел.: (495) 235-6265, 235-2814,
Факс: (495) 234-0310
E-mail: okbsapr@okbsapr.ru
www.okbsapr.ru
115114 Москва,
2-й Кожевнический пер., 8
Тел.: (495) 235-6265, 235-2814,
Факс: (495) 234-0310
E-mail: okbsapr@okbsapr.ru
www.okbsapr.ru
Опубликовано: Журнал "Information Security/ Информационная безопасность" #5, 2011
